Speciale Pubblicato il 23/02/2024

Tempo di lettura: 11 minuti

Email dei dipendenti e privacy

di Modesti dott. Giovanni

Garante Privacy – Documento di indirizzo sui “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”.



In tema di trattamento dati afferente la gestione della posta elettronica il Garante ha più volte precisato la necessità di adottare policy e informative volte ad informare i dipendenti ed i collaboratori sul trattamento dei dati degli stessi effettuato dal Titolare tramite gli strumenti aziendali, ove per trattamento si intende:

  1. la raccolta 
  2. la conservazione
  3. la procedura di cancellazione dell’account dopo l’interruzione del rapporto.

Il titolare del trattamento è tenuto, pertanto, a fornire una chiara informativa ai dipendenti/collaboratori circa la corretta gestione dell’account di posta elettronica nominativa, “dove di certo transitano dati personali e informazioni personali”. 

La mancanza di una policy aggiornata, circa il corretto utilizzo della posta elettronica aziendale, costituisce, in prima battuta, una violazione del principio di accountability, di cui all’art. 24 del GDPR.

La mancata informativa prevista dall’art. 13 del regolamento europeo unitamente alla violazione dei principi di minimizzazione, necessità e limitazione della conservazione –qualora accertata dall’Autorità di Controllo - determina la adozione di sanzioni amministrative pecuniarie, ai sensi dell’art. 83, paragrafo 5, lettera b), per un ammontare che può arrivare fino a 20 milioni di euro.

Diventa dunque fondamentale adempiere, in prima battuta, ai seguenti obblighi: 

  1. redigere una policy aziendale aggiornata circa il corretto utilizzo della posta elettronica aziendale;
  2. redigere un modello di informativa sul trattamento dei dati personali che avviene attraverso l’utilizzo della posta elettronica aziendale. Il modello in parola deve essere consegnato al dipendente sin dall’inizio del rapporto di lavoro e disciplinare tutte le fasi del rapporto contrattuale, dall’assunzione, alla gestione sino alla cessazione dello stesso.
Rimani aggiornato sul nostro dossier dedicato alla Privacy

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

L'articolo continua dopo la pubblicità

Email dei dipendenti e privacy: il ruolo del titolare del trattamento

Per lo svolgimento della loro prestazione lavorativa i dipendenti del titolare del trattamento (di seguito, anche “titolare”), utilizzano strumenti informatici, tra i quali si annoverano anche i mezzi indispensabili per la comunicazione aziendale interna ed esterna.

La comunicazione, pertanto, costituisce parte integrante e sostanziale dello svolgimento delle mansioni lavorative e i dipendenti ricevono dal datore di lavoro applicativi con i quali poter comunicare e scambiare informazioni internamente all’azienda (colleghi o superiori) o esternamente ad essa (pazienti, fornitori, consulenti, altri soggetti pubblici, ecc.)

Da questo punto di vista la posta elettronica è lo strumento principe messo, dal titolare, a disposizione dei lavoratori per comunicare.

Con il termine di “posta elettronica” si definisce “uno spazio di memoria di un sistema informatico destinato alla memorizzazione di messaggi, o informazioni di altra natura (immagini, video, ecc.), di un soggetto identificato da un account registrato presso un provider del servizio”; (cfr. Cass. Pen., Sez. V, 31.032016, n. 13075).

Per quanto di stretto interesse in questa sede, si precisa quanto segue:

  1. L’indirizzo di posta elettronica è un dato personale se consente l’identificazione di un soggetto; si pensi al caso in cui l’indirizzo e-mail contiene il nome e cognome del dipendente, seguito dal dominio aziendale.
  2. Il messaggio di posta elettronica contiene dati personali.

Essendo, pertanto, l’indirizzo di posta elettronica un dato personale, si applicano i principi e le tutele disciplinate dalla vigente normativa di settore: Regolamento (UE) 2016/679 (di seguito, “GDPR”) e D.lgs. n. 196/2003 modificato con D.Lgs. n. 101/2018 (di seguito “Codice Privacy”).

A tale proposito il Garante ha affermato che “il contenuto dei messaggi di posta elettronica – come pure i dati esteriori delle comunicazioni e i file allegati – riguardano forme di corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali”; (cfr. Linee guida del Garante per posta elettronica e Internet, 1.3.2007, punto 5.2, lett. b).

Il titolare del trattamento è tenuto a configurare il sistema di posta elettronica attraverso scelte precise, chiare e documentate per garantire che il trattamento dei dati personali sia lecito, trasparente, necessario, proporzionato e sicuro.

Considerato che:

1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. 

((In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell'Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.))

2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze. 

3. Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196

Dalla lettura dell’articolo in parola si evince che la posta elettronica, essendo il tipico mezzo con il quale il dipendente del titolare invia e riceve comunicazioni di natura aziendale, rientra nella fattispecie degli strumenti di lavoro disciplinati dal comma secondo dell’art. 4, dello Statuto dei Lavoratori. (di stesso avviso è l’INL, Circolare n. 2/2016)

Anche il Garante ha ricompreso tra gli strumenti di cui al comma 2 dell’art. 4 “il servizio di posta elettronica offerto ai dipendenti (mediante attribuzione di un account personale) e gli altri servizi della rete aziendale”, in aggiunta ai “sistemi e le misure che ne consentono il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di sicurezza della rete aziendale messa a disposizione del lavoratore (ad esempio: sistemi di logging per il corretto esercizio del servizio di posta elettronica (omissis)”. (cfr. Provv. Garante 13.7.2016, n. 303)

Si applica, invece, il comma 1 dell’art. 4 per l’utilizzo degli strumenti che consentono al datore di lavoro di controllare l’attività del lavoratore (es. controllo svolto attraverso il monitoraggio della posta elettronica), che non sono indispensabili per rendere la prestazione lavorativa; in questo caso è obbligatorio l’accordo con le OO.SS. o l’autorizzazione amministrativa.

Email dei dipendenti e privacy: i metadati

Per quanto attiene all’utilizzo dei metadati dell’e-mail (ci si riferisce a quei dati esteriori come giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail la cui conoscenza permette di conoscere in dettaglio il comportamento del lavoratore identificandolo e rivelando informazioni che lo riguardano), il Garante ha stabilito che 

sebbene la gestione dei dati esteriori relativi all’utilizzo dei sistemi di posta elettronica, contenuti nella cosiddetta ‘envelope’ del messaggio, e la conservazione degli stessi per un arco temporale limitato, di regola non superiore a sette giorni, si possano considerare necessarie ad assicurare il corretto funzionamento e il regolare utilizzo del sistema di posta elettronica, comprese le essenziali garanzie di sicurezza informatica, la conservazione di tali metadati, per un lasso di tempo più esteso, non può, invece, ricondursi all’ambito di applicazione dell’art. 4, comma 2, della predetta Legge n. 300/1970 (omissis) rientrando, piuttosto, tra gli strumenti funzionali alla tutela dell’integrità del patrimonio informativo del Titolare nel suo complesso, di cui al comma 1 del medesimo art. 4”; (cfr. Provv. Garante 1.12.2022, n. 409).

In estrema sintesi il Garante ha stabilito che si applica il comma 2 dell’art. 4 solo se la conservazione dei metadati della posta elettronica è limitata ad un periodo di tempo non superiore a 7 giorni, mentre una conservazione dei metadati per un periodo superiore determina l’applicazione delle garanzie di cui al comma 1, dell’art. 4, legge 300/1970.

Il Provvedimento del 21 dicembre 2023 - Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” [9978728], (link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9978728 ), fornisce una serie di prescrizioni a carico dei datori di lavoro, pubblici e privati, che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud, utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.

Attraverso questo documento il Garante chiede quindi ai datori di lavoro/titolari del trattamento di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base

Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

Qualora il titolare del trattamento per esigenze organizzative e produttive o di tutela del patrimonio anche informativo (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avesse necessità di trattare i metadati per un periodo di tempo più esteso, dovranno essere espletate le procedure di garanzia previste dall’art. 4, comma 1, dello Statuto dei Lavoratori che richiede

L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

Email dei dipendenti e privacy: violazioni dei dati personali per mancato rispetto adempimento

Si rimarca come il mancato rispetto degli adempimenti può comportare, a seconda dei casi, a carico del titolare del trattamento, le seguenti violazioni dei dati personali:

  1. Illiceità del trattamento; (art 6 GDPR).
  2. Violazione del principio di conservazione; (art. 5.1, lett. e) GDPR).
  3. Violazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (Privacy by Design e Privacy by Default); (art. 25 GDPR).
  4. Violazione del principio di responsabilizzazione; (art. 24 GDPR).

Vanno rilevate, qualora presenti, le seguenti non conformità:

  1. la mancanza di una preventiva e idonea informativa ai dipendenti/collaboratori che illustri, in prima battuta, i seguenti aspetti: a) la conservazione delle e-mail, b) la durata del periodo di conservazione,  c) le finalità del trattamento, d) la base giuridica del trattamento, e) le modalità di accesso e di controllo delle stesse, f) il link alla policy aziendale disciplinante l’uso della posta elettronica e di Internet; g) l’esercizio dei diritti in capo ai lavoratori; h) le misure organizzative e tecniche adottate dal titolare per garantire la sicurezza del trattamento; ecc.
  2. la conservazione sistematica ed estesa di tutte le e-mail, senza predisporre uno strumento in grado di selezionare i documenti che avrebbero potuto essere man mano archiviati;
  3. la possibilità di accesso indistinto alle mail da parte del titolare del trattamento e dei soggetti da quest’ultimo genericamente, di volta in volta, autorizzati;
  4. la non chiarezza riguardo al trattamento effettuato dal Titolare per motivi di tutela dei propri diritti: questi trattamenti sono da ritenersi leciti solo se riferiti a contenziosi in atto o a situazioni precontenziose; mentre diventano illeciti se il trattamento viene motivato da finalità difensiva di natura astratta e indeterminata;
  5. la conservazione delle e-mail per tutta la durata del rapporto di lavoro e anche successivamente al termine dello stesso. Rispetto a quest’ ultimo punto, il Garante ha precisato che, al cessare del rapporto di lavoro, l’account di posta elettronica dovrà essere disattivato e rimosso, inibendo così in modo definitivo la ricezione in entrata delle e-mail e la loro conservazione.

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com



TAG: Privacy 2024 La rubrica del lavoro Lavoro Dipendente